教學課程:Azure DDoS 保護模擬測試
最好的做法就是透過執行定期模擬,來測試您認為服務會如何回應攻擊的假設。 在測試期間,會驗證您的服務或應用程式是否會繼續如預期般運作,而且不會對使用者體驗產生任何中斷。 請以技術和處理程序的觀點,找出其中的差距,然後併入 DDoS 回應策略中。 建議在預備環境或非尖峰時間執行這類測試,將對生產環境的影響降到最低。
針對此教學課程,您將建立測試環境,包括:
- DDoS 保護計劃
- 虛擬網路
- Azure Bastion 主機
- 負載平衡器
- 兩部虛擬機器
接著,您將設定診斷記錄和警示,以監視攻擊和流量模式。 最後,您將使用我們其中一個核准的測試合作夥伴來設定 DDoS 攻擊模擬。
模擬可協助您:
- 驗證 Azure DDoS 保護會如何保護您的 Azure 資源免受 DDoS 攻擊。
- 使遭受 DDoS 攻擊時的事件回應程序達到最佳化。
- 記載 DDoS 合規性。
- 訓練網路安全性小組。
Azure DDoS 模擬測試原則
您只能使用我們核准的測試合作夥伴來模擬攻擊:
- BreakingPoint Cloud:自助流量產生器,您的客戶可以對啟用 DDOS 保護的公用端點產生流量,以進行模擬。
- MazeBolt:RADAR™ 平台會持續識別並啟用 DDoS 弱點的消除 – 主動進行且不會中斷商務營運。
- Red Button:與專門的專家小組合作,在受控制環境中模擬真實的 DDoS 攻擊案例。
- RedWolf:具有即時控制的自助式或引導式 DDoS 測試提供者。
我們的測試合作夥伴的模擬環境是在 Azure 內建置的。 您只能針對屬於自己 Azure 訂用帳戶的 Azure 裝載公用 IP 位址進行模擬,我們的合作夥伴會在測試之前加以驗證。 此外,這些目標公用 IP 位址必須受到 Azure DDoS 保護的保護。 模擬測試可讓您評估您目前整備狀態、識別事件回應程序中的差距,並引導您開發適當的 DDoS 回應策略。
注意
BreakingPoint Cloud 和 Red Button 僅適用於公用雲端。
必要條件
- 具有有效訂用帳戶的 Azure 帳戶。
- 若要使用診斷記錄,您必須先建立已啟用診斷設定的 Log Analytics 工作區。
- 針對此教學課程,您必須部署 Load Balancer、公用 IP 位址、Bastion 和兩部虛擬機器。 如需詳細資訊,請參閱使用 DDoS 保護部署 Load Balancer。 您可以跳過「使用 DDoS 保護部署 Load Balancer」教學課程中的 NAT 閘道步驟。
設定 DDoS 保護計量和警示
在本教學課程中,我們將設定 DDoS 保護計量和警示,以監視攻擊和流量模式。
設定診斷記錄
登入 Azure 入口網站。
在入口網站頂端的搜尋方塊中,輸入監視。 在搜尋結果中選取 [監視]。
在左側窗格中的 [設定] 下,選取 [診斷設定],然後在 [診斷設定] 頁面中選取下列資訊。 接著,選取 [新增診斷設定]。
設定 值 訂用帳戶 選取您要記錄的公用 IP 位址所屬的訂用帳戶。 資源群組 選取您要記錄的公用 IP 位址所屬的資源群組。 資源類型 選取 [公用 IP 位址]。 資源 選取您要記錄計量的特定公用 IP 位址。 在 [診斷設定] 頁面的 [目的地詳細資料] 下方,選取 [傳送至 Log Analytics 工作區],輸入下列資訊,然後選取 [儲存]。
設定 值 診斷設定名稱 輸入 myDiagnosticSettings。 記錄 選取 [allLogs]。 計量 選取 [AllMetrics]。 目的地詳細資料 選取 [傳送至 Log Analytics 工作區]。 訂用帳戶 選取 Azure 訂閱。 Log Analytics 工作區 選取 [myLogAnalyticsWorkspace]。
設定計量警示
登入 Azure 入口網站。
在入口網站頂端的搜尋方塊中,輸入 [警示]。 在搜尋結果中,選取 [警示]。
選取導覽列上的 [+ 建立],然後選取 [警示規則]。
在 [建立警示規則] 頁面上,選取 [+ 選取範圍],然後在 [選取資源] 頁面中選取下列資訊。
設定 值 依訂閱篩選 選取您要記錄的公用 IP 位址所屬的 [訂用帳戶]。 依資源類型篩選 選取 [公用 IP 位址]。 資源 選取您要記錄計量的特定 [公用 IP 位址]。 選取 [完成],然後選取 [下一步:條件]。
在 [條件] 頁面上,選取 [+ 新增條件],然後在 [依訊號名稱搜尋] 搜尋方塊中,搜尋並選取 [是否遭 DDoS 攻擊]。
-
設定 值 臨界值 保留為預設值。 彙總類型 保留為預設值。 運算子 選取 [大於或等於]。 單位 保留為預設值。 臨界值 輸入 1。 針對 [是否正遭受 DDoS 攻擊計量],[0] 表示您並未遭受攻擊,而 [1] 表示您正在遭受攻擊。 選取 [下一步:動作],然後選取 [+ 建立動作群組]。
建立動作群組
在 [建立動作群組] 頁面中,輸入下列資訊,然後選取 [下一步:通知]。
設定 值 訂用帳戶 選取您要記錄的公用 IP 位址所屬的 Azure 訂用帳戶。 資源群組 選取您的資源群組。 區域 保留為預設值。 動作群組 輸入 myDDoSAlertsActionGroup。 Display name 輸入 myDDoSAlerts。 在 [通知] 索引標籤的 [通知類型] 底下,選取 [電子郵件/簡訊/推播/語音]。 在 [名稱] 底下,輸入 myUnderAttackEmailAlert。
在 [電子郵件/簡訊/推播/語音] 頁面上,選取 [電子郵件] 核取方塊,然後輸入必要的電子郵件。 選取 [確定]。
選取 [檢閱 + 建立],然後選取 [建立]。
繼續透過入口網站設定警示
選取 [下一步:詳細資料]。
在 [詳細資料] 索引標籤的 [警示規則詳細資料] 底下,輸入下列資訊。
設定 值 嚴重性 選取 [2 - 警告]。 警示規則名稱 輸入 myDDoSAlert。 選取 [檢閱 + 建立],然後在通過驗證後選取 [建立]。
設定 DDoS 攻擊模擬
BreakingPoint Cloud
BreakingPoint Cloud 為自助式流量產生器,您可以針對已啟用 DDoS 保護的公用端點產生流量,以進行模擬。
BreakingPoint Cloud 供應項目:
- 簡化的使用者介面和「現成」體驗。
- 依使用量付費模型。
- 預先定義的 DDoS 測試調整大小和測試持續時間設定檔消除了設定錯誤的可能性,以使驗證更為安全。
- 免費試用帳戶。
注意
對於 BreakingPoint Cloud,您必須先建立帳戶 BreakingPoint Cloud 帳戶。
範例攻擊值:
設定 | 值 |
---|---|
目標 IP 位址 | 輸入您想要測試的其中一個公用 IP 位址。 |
連接埠號碼 | 輸入 443。 |
DDoS 設定檔 | 可能的值包括 DNS Flood 、NTPv2 Flood 、SSDP Flood 、TCP SYN Flood 、UDP 64B Flood 、UDP 128B Flood 、UDP 256B Flood 、UDP 512B Flood 、UDP 1024B Flood 、UDP 1514B Flood 、UDP Fragmentation 、UDP Memcached 。 |
測試大小 | 可能的值包括 100K pps, 50 Mbps and 4 source IPs 、200K pps, 100 Mbps and 8 source IPs 、400K pps, 200Mbps and 16 source IPs 、800K pps, 400 Mbps and 32 source IPs 。 |
測試持續時間 | 可能的值包括 10 Minutes 、15 Minutes 、20 Minutes 、25 Minutes 、30 Minutes 。 |
注意
- 如需搭配 Azure 環境使用 BreakingPoint Cloud 的詳細資訊,請參閱此BreakingPoint Cloud 部落格 (英文)。
- 如需使用 BreakingPoint Cloud 的影片示範,請參閱 DDoS 攻擊模擬 (英文)。
Red Button
Red Button 的 DDoS 測試服務套件包含三個階段:
- 規劃工作階段:Red Button 專家會與您的小組開會,了解您的網路架構、彙編技術詳細資料,以及定義明確的目標和測試排程。 這包括規劃 DDoS 測試範圍和目標、攻擊媒介和攻擊率。 共同規劃工作詳述於測試計劃文件中。
- 受控 DDoS 攻擊:根據定義的目標,Red Button 小組會啟動多媒介 DDoS 攻擊組合。 測試通常會持續三到六小時。 使用專用伺服器安全地執行攻擊,並使用 Red Button 的管理主控台來控制和監視攻擊。
- 摘要和建議:Red Button 小組會為您提供一份書面 DDoS 測試報告,概述 DDoS 風險降低的有效性。 此報告包含測試結果的執行摘要、模擬的完整記錄、基礎結構內的弱點清單,以及更正方式的建議。
此外,Red Button 提供其他兩個服務套件 (DDoS 360 和 DDoS 事件回應),可補充 DDoS測試服務套件。
RedWolf
RedWolf 提供易於使用的測試系統,既可自助使用,也可由 RedWolf 專家提供指導。 RedWolf 測試系統可讓客戶設定攻擊媒介。 客戶可以使用設定的即時控制項來指定攻擊規模,以模擬受控環境中真實世界的 DDoS 攻擊案例。
RedWolf 的 DDoS 測試服務套件包含:
- 攻擊媒介:由 RedWolf 所設計的獨特雲端攻擊。 如需 RedWolf 攻擊媒介的詳細資訊,請參閱技術詳細資訊 (英文)。
- 引導式服務:利用 RedWolf 的團隊來執行測試。 如需 RedWolf 引導式服務的詳細資訊,請參閱引導式服務 (英文)。
- 自助式服務:利用 RedWolf 自行執行測試。 如需 RedWolf 自助式服務的詳細資訊,請參閱自助式服務 (英文)。
MazeBolt
RADAR™ 平台會持續識別並啟用 DDoS 弱點的消除 – 主動進行且不會中斷商務營運。
下一步
若要在攻擊之後檢視攻擊計量和警示,請繼續進行下一個教學課程。